โทรจันที่มุ่งเป้าโจมตีระบบธนาคารบน Windows ที่รู้จักกันในชื่อ Coyote กลายเป็นมัลแวร์ตัวแรกที่ถูกพบว่าใช้ช่องโหว่ของระบบ accessibility framework ของ Windows ที่ชื่อว่า UI Automation (UIA) เพื่อขโมยข้อมูลสำคัญ

นักวิจัยด้านความปลอดภัยของ Akamai Tomer Peled ระบุในการวิเคราะห์ว่า “Coyote เวอร์ชันใหม่นี้มุ่งเป้าโจมตีผู้ใช้งานในประเทศบราซิล และใช้ UIA เพื่อดึงข้อมูลบัญชีผู้ใช้งานที่เชื่อมโยงกับที่อยู่เว็บไซต์ และการแลกเปลี่ยนเงินคริปโตฯ ของสถาบันการเงินจำนวน 75 แห่ง”

Coyote ถูกพบครั้งแรกโดย Kaspersky ในปี 2024 ซึ่งเป็นที่รู้จักในการโจมตีผู้ใช้งานในบราซิล โดยมาพร้อมกับความสามารถในการบันทึกการกดแป้นพิมพ์ ถ่ายภาพหน้าจอ และแสดง overlay บนหน้าล็อกอินของสถาบันทางการเงินต่าง ๆ

UIA ซึ่งเป็นส่วนหนึ่งของ Microsoft .NET Framework เป็นคุณสมบัติที่ Microsoft นำเสนอเพื่อให้โปรแกรมอ่านหน้าจอ และผลิตภัณฑ์เทคโนโลยีช่วยเหลืออื่น ๆ สามารถเข้าถึง user interface (UI) ได้ผ่านโปรแกรมบนเดสก์ท็อปได้ด้วยการเขียนโปรแกรม

ความสามารถของ UIA ที่อาจถูกนำมาใช้ในทางที่ผิด เช่น การขโมยข้อมูล เคยถูกสาธิตให้เห็นแล้วในรูปแบบ PoC โดย Akamai เมื่อเดือนธันวาคม 2024 โดยบริษัทโครงสร้างพื้นฐานเว็บรายนี้ระบุว่า UIA อาจถูกใช้เพื่อขโมยข้อมูลบัญชีผู้ใช้ หรือรันโค้ดก็ได้

ในบางแง่มุม วิธีการโจมตีล่าสุดของ Coyote มีลักษณะคล้ายกับ banking trojans บน Android หลายตัวที่ถูกตรวจพบ ซึ่งมักนำ accessibility services ของระบบปฏิบัติการมาใช้เป็นอาวุธเพื่อดึงข้อมูลที่มีความสำคัญ

จากการวิเคราะห์ของ Akamai พบว่ามัลแวร์นี้เรียกใช้ Windows API ที่ชื่อว่า GetForegroundWindow() เพื่อดึงชื่อหน้าต่างที่กำลังเปิดอยู่ แล้วนำไปเปรียบเทียบกับรายการเว็บไซต์ของธนาคาร และเว็บแลกเปลี่ยนคริปโตฯ ที่ฝังมาในโค้ด

Peled อธิบายว่า “หากไม่มีรายการใดตรงกัน Coyote จะใช้ UIA เพื่อวิเคราะห์องค์ประกอบย่อยของ UI ในหน้าต่างนั้น เพื่อพยายามตรวจจับแท็บเบราว์เซอร์ หรือ address bar”  “จากนั้นเนื้อหาขององค์ประกอบ UI เหล่านี้จะถูกนำมาเปรียบเทียบกับรายการเว็บไซต์เดิมอีกครั้ง”

สถาบันการเงินมากถึง 75 แห่งตกเป็นเป้าหมายของมัลแวร์เวอร์ชันล่าสุดนี้ ซึ่งเพิ่มขึ้นจาก 73 แห่งที่ Fortinet FortiGuard Labs บันทึกเมื่อต้นเดือนมกราคมที่ผ่านมา

Akamai ระบุเพิ่มเติมว่า “หากไม่มี UIA การวิเคราะห์องค์ประกอบย่อยของแอปพลิเคชันอื่นทำได้ยากมาก”

“เพื่อให้สามารถอ่านเนื้อหาขององค์ประกอบย่อยภายในแอปพลิเคชันอื่นได้อย่างมีประสิทธิภาพ นักพัฒนาจำเป็นต้องมีความเข้าใจอย่างดีว่าแอปพลิเคชันเป้าหมายนั้นมีโครงสร้างอย่างไร”

“Coyote สามารถทำการตรวจสอบได้โดยไม่ขึ้นกับว่ามัลแวร์อยู่ในโหมดออนไลน์ หรือออฟไลน์ ซึ่งเพิ่มโอกาสในการระบุธนาคาร หรือเว็บไซต์แลกเปลี่ยนคริปโตของเหยื่อได้สำเร็จ และขโมยข้อมูลบัญชีผู้ใช้”

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบมัลแวร์ตัวใหม่ที่เกี่ยวข้องกับแอปธนาคารบนระบบ Android ที่มีชื่อว่า Octo ซึ่งถูกพัฒนาให้มีความสามารถในการเข้าควบคุมอุปกรณ์ (Device Takeover หรือ DTO) และการทำธุรกรรมที่เป็นการหลอกลวงได้ดียิ่งขึ้น (more…)

นักวิจัยด้านความปลอดภัยค้นพบ Banking Trojan ตัวใหม่ที่มีชื่อเรียกว่า "Kronos" ซึ่งถูกขายอยู่ในฟอรั่มใต้ดิน โดยมัลแวร์ถูกขายในราคา 7,000 ดอลลาร์

การโจมตีมีลักษณะคล้ายกับ banking Trojans ตัวอื่น ๆ แต่มัลแวร์ดังกล่าวจะทำการค้นหาฟอร์มของเพจนั้นๆ (form grabbing) เมื่อพบแล้วจากนั้นทำการ HTML Injection
Kronos จะมี User-mode rootket(ring3) ที่สามารถช่วยให้มัลแวร์ดังกล่าวป้องกันตัวเองจากมัลแวร์ตัวอื่นๆ นอกจากนี้ Kronos ยังถูกออกแบบมาเพื่อหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัส และ Bypass sandbox ซึ่งมัลแวร์ดังกล่าวใช้การเข้ารหัสในการสื่อสารกับเซิร์ฟเวอร์ C&C

ที่มา : ehackingnews

นักวิจัยด้านความปลอดภัยค้นพบ Banking Trojan ตัวใหม่ที่มีชื่อเรียกว่า "Kronos" ซึ่งถูกขายอยู่ในฟอรั่มใต้ดิน โดยมัลแวร์ถูกขายในราคา 7,000 ดอลลาร์

การโจมตีมีลักษณะคล้ายกับ banking Trojans ตัวอื่น ๆ แต่มัลแวร์ดังกล่าวจะทำการค้นหาฟอร์มของเพจนั้นๆ (form grabbing) เมื่อพบแล้วจากนั้นทำการ HTML Injection
Kronos จะมี User-mode rootket(ring3) ที่สามารถช่วยให้มัลแวร์ดังกล่าวป้องกันตัวเองจากมัลแวร์ตัวอื่นๆ นอกจากนี้ Kronos ยังถูกออกแบบมาเพื่อหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัส และ Bypass sandbox ซึ่งมัลแวร์ดังกล่าวใช้การเข้ารหัสในการสื่อสารกับเซิร์ฟเวอร์ C&C

ที่มา : ehackingnews